CONTRIBUIÇÕES À CONSULTA PÚBLICADO MINISTÉRIO DA JUSTIÇA

SOBRE O PROJETO DE LEI DE PROTEÇÃO DE DADOS PESSOAIS

A Cisco, maior empresa do mundo de equipamentos de rede e TI, não só desenvolve atecnologia para as redes de banda larga do mundo, mas também as tecnologias para a suaconstrução e que permitem a entrega dos serviços de rede e aplicações de ponta.

Para contribuir com o presente debate, gostaríamos de compartilhar algumaspreocupações relacionadas com a abordagem do projeto de lei de proteção de dados pessoaisque, quando relacionada com alguns campos específicos da tecnologia em desenvolvimento,pode impedir o desenvolvimento e o acesso dos cidadãos brasileiros a valiosas tecnologias.

Entendemos os objetivos do governo Brasileiro para estabelecer mecanismos deproteção ao tratamento e uso de dados pessoais. Contudo, as implicações dessas regrasdevem ser cuidadosamente avaliadas, principalmente com o intuito de evitar barreiras àinovação e a adoção de tecnologias de ponta e aplicações o que é essencial para garantir queessas regras não se transformem em uma barreira para o desenvolvimento dos ecossistemasde nuvem e TIC no Brasil.

A Internet se desenvolveu nos últimos anos se tornando uma plataforma aberta ainovação e com poucas barreiras de acesso aos usuários finais, aos fornecedores de conteúdoe aplicações. Certamente a Internet e a economia digital tem desempenhando um papelimportante no crescimento e inovação da economia brasileira.

No Brasil, o número de pessoas conectadas cresceu 2.095% entre 2000 e 2013. Aentrada de novos usuários em um mundo conectado só tem a trazer benefícios em termos doecossistema como um todo, criando uma demanda para a expansão da rede, investimentosem infraestrutura e inovação.

A estrutura regulatória existente visa promover a capacidade, pelos usuários finais, deacesso e distribuição de informações bem como de executar aplicações e serviços de suaescolha e acreditamos que esse deve ser mesmo o caminho a ser seguido.

Nesse sentido, compartilhamos através deste documento algumas considerações arespeito do anteprojeto de lei e informações importantes a respeito da Internet das Coisas e asdevidas implicações da lei neste e em contextos que surgirão no futuro.

1

Sobre a Internet das Coisas

A discussão em torno do Internet das Coisas ("IoT"), ou “Internet of Everything”, estáem seus estágios iniciais. Muito se tem discutido sobre os princípios que podem ser adotadospara regular este tipo de atividade, tendo em conta que, devido à sua natureza, certos tipos decontrole poderiam cercear sua funcionalidade e desenvolvimento.

A Internet das Coisas é a primeira grande revolução da Internet, que está emconstantes desenvolvimento e aperfeiçoamento, mas basicamente possui as mesmas funçõespara as quais foi projetada no início. A Internet é padronizada em IP, embora hoje em diaexistam várias outras formas de protocolo de comunicação, como o Apple Talk and Token Ring,por exemplo1.

Sendo assim, a Internet das Coisas é considerada como a primeira evolução real daInternet, conduzindo o desenvolvimento de ferramentas revolucionárias, com o poder debeneficiar nosso estilo de vida, a forma como realizamos negócios, desenvolvemos a educaçãoe o entretenimento.

A Internet das Coisas abrange diferentes tipos de funcionalidade que, atribuídas aosobjetos do cotidiano conectados à Internet, lhes permite desempenhar uma séria de novasfunções. Podemos exemplificar com dispositivos automotivos, residenciais e para uso pessoal,que controlam o nível de sono e de exercícios diários, além de dispositivos para a área desaúde que podem monitorar dados médicos, como em pacientes portadores de diabetes, porexemplo.

Estamos à beira de uma era em que tudo, desde carros, árvores, iluminação pública eaté mesmo vacas2 pode ser dado um endereço de Internet e conectado a uma rede emconstante expansão. Isto é o que nós descrevemos como a "Internet of Everything", e que sebaseia na ideia de que quando você traz pessoas, processos, dados e coisas juntos,oportunidades sem paralelo podem ser criadas.

Imagine como será o futuro daqui a 5, 10 ou 25 anos. As pessoas, processos,informações, estarão todos conectados e, em 2020, um colosso de 50 bilhões de dispositivosestarão compartilhando o que conhecemos hoje como a Internet, com tecnologia móvelpessoal, em constante mudança, fácil de usar, muitos observaram que estamos vivendo agoraem um mundo hiperconectado. Mas apesar de todas essas conexões, estimamos que mais de99% de todos os objetos físicos que podem um dia se juntar a rede atualmente ainda nãoestão conectados. Apenas começamos a conectar os “desconectados”

1 Mais informações disponíveis em: https://www.cisco.com/web/about/ac79/docs/innov/IoT_IBSG_0411FINAL.pdf

2 A Dutch start-up company, implant sensors in the ears of cattle, allowing farmers to monitor cows health and track their movements, ensuring a healthier supply of food to consume

2

Estamos construindo a próxima geração da via super conectada que irá fornecer aplataforma de inovação que vai gerar e nutrir a próxima geração de inovação disruptiva ecriativa, gerando empregos e crescimento econômico. A Internet de todas as Coisas eleva ocampo entre as grandes organizações e empresas de pequeno porte - não se trata detamanho, é sobre a engenhosidade e ousadia da própria ideia. Como a tecnologia continua ase desenvolver em torno de nós, como conexões de se tornar mais inteligente e mais rápido,só veremos aplicativos mais criativos e inovadores da Internet das Coisas, e eles vãoliteralmente mudar o mundo.

Na prática, trata-se de histórias, como varejistas transformando a experiência na lojacom os dados dos clientes mais perspicazes e relevantes, bem como otimizar suas cadeias deabastecimento e de valor. Trata-se de concessionárias de serviços públicos que entregammaior clareza e controle através da aplicação de medidores inteligentes. Da mesma forma,trata-se de um paciente conectado que monitoram a si mesmos e fornecem uma visão realpara os clínicos e médicos de seu estado de saúde.

Já existem dispositivos portáteis concebidos para pessoas idosas que permitem omonitoramento de sinais vitais. As informações podem ser disponibilizadas em tempo real aum profissional de saúde que pode prestar socorro em casos urgentes como, por exemplo, noscasos de quedas em que o idoso não consegue se levantar, as informações são disponibilizadascomo um alerta para atendimento imediato.

No Brasil, estima-se que haverá 645,0 milhões de dispositivos em rede em 2018,contra 418,5 milhões em 2013, e 3,1 dispositivos em rede por habitante em 2018, acima dos2,1 per capita em 2013. E em relação à IoE, módulos M2M serão responsáveis por 29% (187,5milhões) de todos os dispositivos de rede em 2018, em comparação com 16% (65,4 milhões)em 2013, (23,5% CAGR).

Dispositivos M2M irão aumentar de 6% em 2014 para 21% em 2019, o maior

3

crescimento será em Tablets (CAGR de 38%) e M2M (CAGR de 34%). Mundialmente, em 2014,um dispositivo inteligente gerará 22 vezes mais tráfego do que um dispositivo não-inteligente.

Globalmente, M2M em média gerará 366 megabytes de tráfego de dados móveis pormês em 2019, acima de 70 megabytes por mês em 2014. Excluindo LPWA, irá gerar 515megabytes de tráfego de dados móveis por mês em 2019, acima de 70 megabytes por mês em2014. Considerando dispositivos ‘wearable’ ou seja, aqueles que usamos em nossos corposirão gerar 479 megabytes de tráfego de dados móveis por mês em 2019, acima dos 141megabytes por mês em 2014. Estes números são impressionantes e só podemos imaginar ademanda eles vão trazer a rede de telecomunicações existente para transportar tais dados.

Estamos apenas arranhando a superfície do que é possível. Não sabemos quaisaplicações e serviços serão moldados na Internet no futuro. Para continuar inovando énecessário garantir o acesso a todas as funcionalidades desenvolvidas, atendendo asnecessidades dos usuários e as sugestões de melhorias.

4

Dessa forma, regras que buscam, por exemplo, a limitação do processamento de dadosa um “mínimo” podem afetar o desenvolvimento da tecnologia e da economia, tendo em vistaque novas funcionalidades e benefícios podem ser encontrados após a coleta de dados.

Igualmente, o consentimento expresso prévio sugerido pelo anteprojeto de lei seriaimpraticável em uma série de aplicativos e dispositivos disponíveis para o uso em automóveise residências, que controlam desde a rota de navegação até o horário de acendimento deluzes, por exemplo. Ou, no caso dos pacientes que utilizam os monitores de saúde descritosanteriormente, certamente não seria possível a coleta de consentimento expresso todas asvezes que os dados fossem coletados e tratados3. Além disso, estamos apenas no início darevolução da Internet e a maior parte das aplicações e seus diferentes usos ainda estão paraserem desenvolvidos.

De acordo com o projeto de lei, no que diz respeito ao “consentimento” dos usuáriospara o tratamento de dados e trazendo sua aplicação para o cenário da Internet das Coisas,acreditamos que os consumidores poderão ser sobrecarregados com pedidos deconsentimento, impossibilitados de distinguir suas próprias prioridades. Tudo isso,certamente, quando tal consentimento expresso for possível, quando, na verdade, a maiorparte dos mecanismos envolvendo a Internet das Coisas está relacionada com operaçãomaquina a maquina (“M2M”).

O objetivo do projeto de lei não é minar a capacidade dos consumidores de exerceremsuas habilidades de suas informações pessoais. E sim proporcionar meios para que oconsumidor realize escolhas significativas com base na necessidade real do seu consentimentopara coleta e tratamento de dados. A redução das hipóteses em que esse mecanismo se faznecessário dará um caráter mais significativo ao consentimento.

Dentro do contexto de Internet das Coisas e análise de “big data”, o consentimentoexpresso e específico sugerido no projeto de lei não poderá sempre ser obtido de maneiraprática. Todavia, outras formas legítimas de processamento deveriam ser consideradas, com ointuito de facilitar o uso responsável de dados que são benéficos para os indivíduos e parasociedade e que permitem práticas legítimas de negócios e inovação, evitando danos erespeitando a privacidade dos indivíduos.

Neste sentido, uma determinação rígida de requisição de consentimento do usuário,conforme previsto no projeto de lei é impraticável e resultaria em um consentimento ilusório edesinformado e poderia minar as proteções efetivas de privacidade.

Assim como apontado pela autoridade norte-americana responsável pelas normas deproteção de dados (FTC) no relatório “Privacy and Security in a Connected World”4, a indústria

3 https://www.ftc.gov/reports/federal-trade-commission-staff-report-november-2013-workshop-entitled-internet-things

4 https://www.ftc.gov/system/files/documents/reports/federal-trade-commission-staff-report-november-2013-workshop-entitled-internet-things-privacy/150127iotrpt.pdf

5

da Internet das Coisas está relativamente em seu estado inicial e não há necessidade deabarcar privacidade e riscos à segurança através de uma legislação específica para o tema nomomento.

Nesse sentido, destacamos, como exemplo, o “legítimo interesse”, tido como base nasoperações de processamento de dados no âmbito da Diretiva de Proteção de Dados da UniãoEuropeia e do Regulamento de Proteção de Dados em discussão atualmente na UE, e queentendemos deva ser utilizado de referencia na construção da legislação brasileira,principalmente porque permite que um controlador processe dados na existência de uminteresse legítimo seu ou de um terceiro envolvido no processo, desde que não ultrapassedireitos ou liberdades fundamentais garantidos aos indivíduos5.

Conforme dito até aqui, o fornecimento do consentimento para coleta e uso de dadosdeve ser obrigatório nos casos em que as alterações na tecnologia, sejam de fato relevantes.Considerando o constante desenvolvimento da Internet das Coisas, pequenas alterações ecorreções não podem ser determinantes para a obrigatoriedade de um novo consentimentopor parte do usuário para continuidade da utilização do produto ou serviço, pois acaba porcriar confusão e distração do usuário para as alterações realmente significativas e para as quaisele deve efetivamente prestar atenção.

Igualmente, o anteprojeto, da forma como proposto, apresenta um desafio sobre aóptica da Internet das Coisas na medida em que permite que a autoridade competentedetermine um tempo máximo para o tratamento de dados, exigindo o cancelamento dotratamento depois de decorrido esse período máximo a ser estipulado. Acreditamos que seriaextremamente prejudicial para a inovação e o desenvolvimento econômico como um todo quetal limitação faça parte do escopo da legislação, especialmente dentro do contexto da Internetdas Coisas.

Conforme exposto, a Internet das Coisas pode fornecer uma gama de mecanismosinovadores para melhorar e facilitar a vida humana, e, mesmo com o desenvolvimento detodos os produtos já existentes, sabemos que muito mais está por vir e colocar estesmecanismos sob o controle de proteção de dados neste momento pode retardar odesenvolvimento dessas tecnologias em um período de crise financeira, quando eles poderiamser mais necessários.

5 No que consiste a preocupação com a regulamentação da UE, a abordagem recomendada pelos reguladores de proteção dedados é abordagem da "privacidade desde a concepção". O atual projeto de regulamentação Privacidade na UE estabelece que: Aproteção dos direitos e liberdades dos titulares dos dados relativamente ao tratamento dos seus dados pessoais exige a tomadade medidas técnicas e organizacionais adequadas, tanto no momento da conceção como no momento da execução dotratamento, para assegurar o cumprimento dos requisitos do presente regulamento. A fim de assegurar e comprovar aconformidade com o presente regulamento, o responsável pelo tratamento deve adotar regras internas e aplicar medidasapropriadas que devem respeitar, em especial, os princípios da proteção de dados desde a conceção e da proteção de dados pordefeito. O princípio da proteção de dados desde a conceção obriga a que a proteção de dados seja inserida em todo o ciclo devida da tecnologia, desde a fase inicial de conceção, até à sua instalação, utilização e eliminação finais. Isto deve abarcartambém a responsabilidade pelos produtos e serviços utilizados pelo responsável ou pelo subcontratante. O princípio daproteção de dados por defeito obriga a que as definições de privacidade aplicáveis a serviços e a produtos cumpram, pordefeito, os princípios gerais da proteção de dados, tais como a minimização dos dados e a limitação das finalidades.http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2014-0212+0+DOC+XML+V0//PT

6

Assim como aconteceu com outras tecnologias, os cidadãos certamente se preocupamcom sua privacidade e precisam entender exatamente como suas informações serão utilizadas.Portanto, acreditamos fortemente que, como já é na prática6, a transparência e o livre acessoà informação sobre os mecanismos envolvidos nas funcionalidades das tecnologias da Internetdas Coisas são essenciais para apoiar a sua implementação junto aos cidadãos.

Dessa forma, enfatizamos que a tecnologia da Internet das Coisas, por suascaracterísticas específicas e funcionalidades, não deveria ser discutida no âmbito desse projetode proteção de dados pessoais ou, alternativamente, no mínimo, deveria estar enquadradadentro das exceções específicas ao consentimento expresso.

COMENTÁRIOS ESPECÍFICOS – APL

Tendo em vista as informações apresentadas anteriormente, e para que possamosmelhor esclarecer nosso entendimento, apresentamos também algumas observaçõesespecíficas para alguns itens do projeto de lei, para os quais entendemos que uma abordagemalternativa e discussões mais profundas devem ser consideradas.

Disposições Preliminares

Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, com oobjetivo de proteger os direitos fundamentais de liberdade, intimidade eprivacidade da pessoa natural.

Art. 2º Esta Lei aplica-se a qualquer operação de tratamento realizada pormeio total ou parcialmente automatizado, por pessoa natural ou por pessoajurídica de direito público ou privado, independentemente do país de suasede e do país onde esteja localizado o banco de dados, desde que:I – a operação de tratamento seja realizada no território nacional; ouII – os dados pessoais objeto do tratamento tenham sido coletados noterritório nacional.§1º - Consideram-se coletados no território nacional os dados pessoais cujotitular nele se encontre no momento da coleta.§ 2º - Esta Lei não se aplica aos tratamentos de dados:I – realizados por pessoa natural para fins exclusivamente pessoais; ouII – realizados para fins exclusivamente jornalísticos.§ 3º - É vedado aos órgãos públicos e entidades públicas efetuar atransferência de dados pessoais constantes de bases de dados queadministram ou a que tenham acesso no exercício de suas competênciaslegais para entidades privadas, exceto em casos de execução terceirizada ou

6 Na cidade de Aurora, Estados Unidos, onde foi implementado um novo sistema de controle por câmera nas vias públicas, os cidadãos temiam a vigilância e um efeito de "big brother". Para melhor resolver essas preocupações a cidade autorizou os cidadãos a rever os vídeos gravados para compreender melhor a prática. http://www.govtech.com/library/papers/How-the-Internet-of-Everything-Can-Unlock-New-Possibilities-for-Cities-Across-the-Globe-1409.html

7

mediante concessão e permissão de atividade pública que o exija eexclusivamente para fim específico e determinado.

Art. 3º - As empresas públicas e sociedades de economia mista que atuemem regime de concorrência, sujeitas ao disposto no art. 173 da Constituição,terão o mesmo tratamento dispensado às pessoas jurídicas de direitoprivado particulares, nos termos desta Lei.

Parágrafo único. As empresas públicas e sociedades de economia mista,quando estiverem operacionalizando políticas públicas e não estiverematuando em regime de concorrência, terão o mesmo tratamento dispensadoaos órgãos e entidades públicas, nos termos dessa Lei.

Art. 4º Os tratamentos de dados pessoais para fins exclusivos de segurançapública, defesa, segurança do Estado, ou atividades de investigação erepressão de infrações penais, serão regidos por legislação específica,observados os princípios gerais de proteção e os direitos do titular previstosnesta Lei.Parágrafo único. É vedado o tratamento dos dados a que se refere o caputpor pessoa de direito privado, salvo em procedimentos sob tutela de pessoajurídica de direito público, que serão objeto de informe específico ao órgãocompetente.

Como mencionado anteriormente, em muitos contextos, como a Internet Da Coisas, oconsentimento expresso é impraticável. Consentimento expresso é impraticável em umainfinidade de aplicações e dispositivos concebidos para funcionar em carros, casas, wearablese tantos outros usos de dispositivos conectados, bem como no contexto de big data ou deinovação baseada em dados.

Consideramos que a transparência é a principal medida a ser adotada perante oconsumidor, especialmente no que diz respeito ao funcionamento de dispositivos IoT,estimulando o uso consciente desses mecanismos. Certamente o objetivo dessa legislação nãoé o de impedir o desenvolvimento, mas sim apresentar mecanismos que legitimem o uso dedados conscientemente. Dessa forma, reforçamos ao legislador brasileiro que leve emconsideração considere os riscos de um regime de consentimento de uso de dados altamenterestritivo e suas consequências no desenvolvimento econômico do país num futuro próximo.

Dados Pessoais, Dados Anônimos e Dados Sensíveis

Art. 5º Para os fins desta Lei, considera-se:I – dado pessoal: dado relacionado à pessoa natural identificada ouidentificável, inclusive a partir de números identificativos, dados locacionaisou identificadores eletrônicos;II – tratamento: conjunto de ações referentes a coleta, produção, recepção,classificação, utilização, acesso, reprodução, transmissão, distribuição,transporte, processamento, arquivamento, armazenamento, eliminação,avaliação ou controle da informação, modificação, bloqueio ou

8

fornecimento a terceiros de dados pessoais, por comunicação, interconexão,transferência, difusão ou extração;III – dados sensíveis: dados pessoais que revelem a origem racial ou étnica,as convicções religiosas, filosóficas ou morais, as opiniões políticas, a filiaçãoa sindicatos ou organizações de caráter religioso, filosófico ou político,dados referentes à saúde ou à vida sexual, bem como dados genéticos;IV – dados anônimos: dados relativos a um titular que não possa seridentificado, nem pelo responsável pelo tratamento nem por qualquer outrapessoa, tendo em conta o conjunto de meios suscetíveis de seremrazoavelmente utilizados para identificar o referido titular;V – banco de dados: conjunto estruturado de dados pessoais, localizado emum ou em vários locais, em suporte eletrônico ou físico;VI – titular: a pessoa natural a quem se referem os dados pessoais objeto detratamento;VII – consentimento: manifestação livre, expressa, específica e informadapela qual o titular concorda com o tratamento de seus dados pessoais parauma finalidade determinada;VIII – responsável: a pessoa natural ou jurídica, de direito público ouprivado, a quem competem as decisões referentes ao tratamento de dadospessoais;IX – operador: a pessoa natural ou jurídica, de direito público ou privado,que realiza o tratamento de dados pessoais em nome do responsável;X – comunicação de dados: transferência de dados pessoais a um ou maissujeitos determinados diversos do seu titular, sob qualquer forma;XI – interconexão: transferência de dados pessoais de um banco a outro,mantido ou não pelo mesmo proprietário, com finalidade semelhante oudistinta;XII – difusão: transferência de dados pessoais a um ou mais sujeitosindeterminados, diversos do seu titular, sob qualquer forma;XIII – transferência internacional de dados: transferência de dados pessoaispara um país estrangeiro;XIV – dissociação: ato de modificar o dado pessoal de modo a que ele nãopossa ser associado, direta ou indiretamente, com um indivíduo identificadoou identificável;XV – bloqueio: guarda do dado pessoal ou do banco de dados com asuspensão temporária de qualquer operação de tratamento;XVI – cancelamento: eliminação de dados ou conjunto de dadosarmazenados em banco de dados, seja qual for o procedimento empregado;XVII – uso compartilhado de dados: a comunicação, a difusão, atransferência internacional, a interconexão de dados pessoais outratamento compartilhado de bancos de dados pessoais por órgãos eentidades públicos, no cumprimento de suas competências legais, ou entreórgãos e entidades públicos e entes privados, com autorização específica,para uma ou mais modalidades de tratamento delegados por esses entespúblicos; eXVIII – encarregado: pessoa natural, indicada pelo responsável, que atuacomo canal de comunicação perante os titulares e o órgão competente.

Art. 12. É vedado o tratamento de dados pessoais sensíveis, salvo:I – com fornecimento de consentimento especial pelo titular:

9

a) mediante manifestação própria, distinta da manifestação deconsentimento relativa a outros dados pessoais; eb) com informação prévia e específica sobre a natureza sensível dos dados aserem tratados, com alerta quanto aos riscos envolvidos no tratamentodesta espécie de dados; ouII – sem fornecimento de consentimento do titular, quando os dados foremde acesso público irrestrito, ou nas hipóteses em que for indispensável para:a) cumprimento de uma obrigação legal pelo responsável;b) tratamento e uso compartilhado de dados relativos ao exercício regularde direitos ou deveres previstos em leis ou regulamentos pela administraçãopública;c) realização de pesquisa histórica, científica ou estatística, garantida,sempre que possível, a dissociação dos dados pessoais;d) exercício regular de direitos em processo judicial ou administrativo;e) proteção da vida ou da incolumidade física do titular ou de terceiro;f) tutela da saúde, com procedimento realizado por profissionais da área dasaúde ou por entidades sanitárias.§ 1º O disposto neste artigo aplica-se a qualquer tratamento capaz derevelar dados pessoais sensíveis.§2º O tratamento de dados pessoais sensíveis não poderá ser realizado emdetrimento do titular, ressalvado o disposto em legislação específica.§ 3º Nos casos de aplicação do disposto nos itens ‘a’ e ‘b’ pelos órgãos eentidades públicas, será dada publicidade à referida dispensa deconsentimento, nos termos do §1o do art. 6o.

Art. 13. Órgão competente poderá estabelecer medidas adicionais desegurança e de proteção aos dados pessoais sensíveis, que deverão seradotadas pelo responsável ou por outros agentes do tratamento.§ 1º A realização de determinadas modalidades de tratamento de dadospessoais sensíveis poderá ser condicionada à autorização prévia de órgãocompetente, nos termos do regulamento.§ 2º O tratamento de dados pessoais biométricos será disciplinado porórgão competente, que disporá sobre hipóteses em que dados biométricosserão considerados dados pessoais sensíveis.

A definição de dados pessoais poderia ser melhor definida, indicando que dados sãoaquilo que está relacionado com uma pessoa, identificável através de meios utilizados peloresponsável pelo tratamento. Os dados requerem proteção quando uma pessoa responsáveltem interesse em relacioná-lo com um suporte e usá-lo de alguma forma. Assim, pode-seafirmar que é desproporcional exigir medidas de proteção especiais, quando a pessoaresponsável não está realmente tentando identificar o titular de algum dado, e que para issoprecisaria sair do seu escopo de trabalho.

Acreditamos que o âmbito da definição de "tratamento", tal como proposto, é muitoamplo e pode levar à confusão e falta de segurança jurídica quando vier a ser implementadopela autoridade competente. Portanto, gostaríamos de sugerir a revisão da definição detratamento incluindo as atividades claramente identificáveis, suprimindo sinônimos. Porexemplo, o significado de transporte pode ser igual ao de transmissão no presente caso.

10

O projeto de lei deve ser construído sobre princípios e definições de conceitos claros eirrefutáveis, garantindo clareza nos direitos e deveres envolvidos. Em outras palavras, oprojeto deve evitar o uso de definições que possuam um significado diferente em outrocontexto legal, como o uso do termo "interconexão", que é, por definição contida na legislaçãoespecífica de telecomunicações (Lei nº 9.472 / 97 -. LGT7), a funcionalidade de conexão queliga redes compatíveis de telecomunicações e serviços de telecomunicações, com todas asimplicações legais e fiscais que tal tratamento envolve.

Observamos ainda que uma série de definições são variações sobre a divulgação dedados para outra parte (ou, no caso da interconexão outra base de dados). Acreditamos serrecomendável uma compilação das definições propostas, a fim de se evitar falta de clareza naaplicação do conceito. Nesse sentido, sugerimos que haja um esclarecimento sobre a razão daobrigação de duas empresas obterem o consentimento quando a transferência de dados sedará de um 'banco de dados' para outro dentro da mesma empresa, para além que do éalcançado pelas cláusulas sobre transferência de dados internacional.

Finalmente, ainda analisando as definições propostas no projeto de lei, tambémgostaríamos de chamar a atenção para o conceito de dados anônimos. Embora o projetoapresente uma definição de dados anônimos, ele não consegue excluir expressamente essesdados do âmbito de aplicação da lei, o que sugerimos que seja esclarecido, ainda quemantendo a interpretação padrão, na medida em que tais dados não são, por sua próprianatureza, dados pessoais.

Entendemos que essa interpretação está correta, já que os dados anônimos não sãoconsiderados dados pessoais por não permitirem uma identificação razoável e, portanto, nãodevem receber o mesmo grau de proteção que os dados pessoais.

Consentimento

Art. 7º O tratamento de dados pessoais somente é permitido após oconsentimento livre, expresso, específico e informado do titular, salvo odisposto no art. 11.§1º O consentimento para o tratamento de dados pessoais não pode sercondição para o fornecimento de produto ou serviço ou para o exercíciode direito, salvo em hipóteses em que os dados forem indispensáveis paraa sua realização.§2º É vedado o tratamento de dados pessoais cujo consentimento tenhasido obtido mediante erro, dolo, estado de necessidade ou coação.§3º O consentimento deverá ser fornecido por escrito ou por outro meioque o certifique.§4º O consentimento deverá ser fornecido de forma destacada das demaiscláusulas contratuais.

7 LGT – Art. 146 - Parágrafo único. Interconexão é a ligação entre redes de telecomunicaçõesfuncionalmente compatíveis, de modo que os usuários de serviços de uma das redes possam comunicar-se com usuários de serviços de outra ou acessar serviços nela disponíveis.

11

§5º O consentimento deverá se referir a finalidades determinadas, sendonulas as autorizações genéricas para o tratamento de dados pessoais.§6º O consentimento pode ser revogado a qualquer momento, sem ônuspara o titular.§7º São nulas as disposições que estabeleçam ao titular obrigaçõesiníquas, abusivas, que o coloquem em desvantagem exagerada, ou quesejam incompatíveis com a boa-fé ou a equidade.§8º Cabe ao responsável o ônus da prova de que o consentimento dotitular foi obtido em conformidade com o disposto nesta Lei.

Art. 8º O titular de dados pessoais com idade entre doze e dezoito anosidade poderá fornecer consentimento para tratamento que respeite suacondição peculiar de pessoa em desenvolvimento, ressalvada apossibilidade de revogação do consentimento pelos pais ou responsáveislegais, no seu melhor interesse.

Art. 9º No caso do titular de dados pessoais com idade até doze anosincompletos, o consentimento será fornecido pelos pais ou responsáveislegais, devendo o tratamento respeitar sua condição peculiar de pessoaem desenvolvimento.

Art. 10º No momento do fornecimento do consentimento, o titular seráinformado de forma clara, adequada e ostensiva sobre os seguinteselementos:I – finalidade específica do tratamento;II – forma e duração do tratamento;III – identificação do responsável;IV – informações de contato do responsável;V – sujeitos ou categorias de sujeitos para os quais os dados podem sercomunicados, bem como âmbito de difusão;VI – responsabilidades dos agentes que realizarão o tratamento; eVII – direitos do titular, com menção explícita a:a) possibilidade de não fornecer o consentimento, com explicação sobre asconsequências da negativa, observado o disposto no § 1º do art. 6º;b) possibilidade de acessar os dados, retificá-los ou revogar oconsentimento, por procedimento gratuito e facilitado; ec) possibilidade de denunciar ao órgão competente o descumprimento dedisposições desta Lei.§ 1º Considera-se nulo o consentimento caso as informações tenhamconteúdo enganoso ou não tenham sido apresentadas de forma clara,adequada e ostensiva.§ 2º Em caso de alteração de informação referida nos incisos I, II, III ou Vdo caput, o responsável deverá obter novo consentimento do titular, apósdestacar de forma específica o teor das alterações.§ 3º Em caso de alteração de informação referida no inciso IV do caput, oresponsável deverá comunicar ao titular as informações de contatoatualizadas.§ 4º Nas atividades que importem em coleta continuada de dadospessoais, o titular deverá ser informado regularmente sobre acontinuidade, nos termos definidos pelo órgão competente.

12

Art. 11. O consentimento será dispensado quando os dados forem deacesso público irrestrito ou quando o tratamento for indispensável para:.I – cumprimento de uma obrigação legal pelo responsável;II – tratamento e uso compartilhado de dados relativos ao exercício dedireitos ou deveres previstos em leis ou regulamentos pela administraçãopública;III – execução de procedimentos pré-contratuais ou obrigaçõesrelacionados a um contrato do qual é parte o titular, observado o dispostono § 1º do art. 6º;IV – realização de pesquisa histórica, científica ou estatística, garantida,sempre que possível, a dissociação dos dados pessoais;V – exercício regular de direitos em processo judicial ou administrativo;VI – proteção da vida ou da incolumidade física do titular ou de terceiro;VII – tutela da saúde, com procedimento realizado por profissionais daárea da saúde ou por entidades sanitárias.§ 1º Nas hipóteses de dispensa de consentimento, os dados devem sertratados exclusivamente para as finalidades previstas e pelo menorperíodo de tempo possível, conforme os princípios gerais dispostos nestaLei, garantidos os direitos do titular.§ 2º Nos casos de aplicação do disposto nos incisos I e II, será dadapublicidade a esses casos, nos termos do parágrafo 1º do art. 6º.§ 3º No caso de descumprimento do disposto no §2o, o operador ou oresponsável pelo tratamento de dados poderá ser responsabilizado.

Em análise à redação do artigo 10 observamos que, em muitos casos não será possívelprever com antecedência todos os fins específicos a que se atribuirá a justificativa para coletae tratamento de dados. Por isso, as palavras “clara, adequada e ostensiva” podem ser demaisamplas e descoladas dos objetivos da lei, criando um cenário de insegurança jurídica.

O mesmo artigo 10, inciso VII, item b, prevê a possibilidade de revogação doconsentimento. No entanto, é importante deixar claro que a revogação do consentimentopode implicar no cancelamento do serviço oferecido.

Nessa esteira, o artigo prevê que o consentimento deverá ser renovado sempre que opropósito para o qual foi solicitado for modificado, ou ainda o usuário a quem se destinava.Ato contínuo, durante a coleta de dados feita pelas empresas, estas devem explicarclaramente o propósito e o contexto geral em que as informações coletadas serão utilizadas, -e obter as autorizações apropriadas dos indivíduos para tanto. Todavia, em inúmerassituações, após a coleta de informações pessoais, as organizações podem descobrir usosinesperados e inovadores para essas informações e que não estavam inicialmente previstas,quer pelo indivíduo ou pela organização em si - mas que estão, no entanto, dentro do mesmocontexto informado no momento da coleta de dados.

Enquanto as empresas responsáveis se mantiverem transparentes desde o início sobrea sua intenção de usar os dados de maneiras potencialmente inovadoras, obedecendo ao

13

mesmo contexto do momento da coleta (por exemplo, informando os cidadãos em geral sobresua intenção de usar as informações coletadas para melhorar ou oferecer novos produtos /serviços, melhorar a experiência do usuário, ou aumentar as medidas de segurança emdeterminado serviço ou produto), nenhuma nova aprovação deverá ser exigida para o uso dedados. Exigir a renovação do consentimento para qualquer novo uso, ainda que dentro domesmo contexto, seria sufocar a inovação e, potencialmente, evitar os usos de dados de formaaltamente benéfica para os indivíduos e para a sociedade em geral.

Na sequencia, quando se trata da lista de exceções ao consentimento indicadas noartigo 11, acreditamos que algumas considerações devem ser estabelecidas no que dizrespeito ao interesse legítimo. O interesse legítimo8 é uma das bases do sistema europeu deproteção de dados e, neste contexto, a introdução do interesse legítimo, entre as exceções aoconsentimento, como uma hipótese de autorização expressa para o tratamento de dadospessoais deve ser objeto de um estudo mais aprofundado por parte do legislador brasileiro.

Essa alteração permite ao controlador processar dados à partir de um interesselegítimo, realizando um equilíbrio entre os seus interesses e os interesses e os direitosfundamentais do usuário. Isso garante a flexibilidade necessária para executar oprocessamento de dados nos casos em que não há impacto sobre os indivíduos e as mudançasna tecnologia não são materialmente significativas. Além disso, permite a abrangência do usode dados nas áreas de segurança de rede e da informação, onde pode não ser viável nemdesejável solicitar a usuários maliciosos ou participantes inconscientes a permissão para otratamento de seus dados pessoais.

Reforçamos que o conceito tradicional de processamento de dados adotado peloprojeto de lei não é adequado para o processamento de dados de grande escala, como o que érealizado dentro do cenário de análise de “big data” e, em particular, pode não funcionar paraos dispositivos de IoT, por não ser prático ou até mesmo possível obter o consentimento dousuário, considerando estágios prematuros da relação comercial em que não será possívelcelebrar um contrato com o consumidor.

O conceito de interesse legítimo traz segurança jurídica para o processamento dedados para esse possa ser feito legalmente e com segurança, sem sobrecarregar oscontroladores de dados ou impor ao consumidor a revisão constante das suas autorizações.

Comunicação, Interconexão e Uso Compartilhado de Dados

Art. 22. Nos casos de comunicação ou interconexão de dados pessoais, ocessionário ficará sujeito às mesmas obrigações legais e regulamentares do

8 Artigo 7. Os Estados-membros estabelecerão que o tratamento de dados pessoais só poderá serefectuado se : f) O tratamento for necessário para prosseguir interesses legítimos do responsável pelotratamento ou do terceiro ou terceiros a quem os dados sejam comunicados, desde que não prevaleçamos interesses ou os direitos e liberdades fundamentais da pessoa em causa , protegidos ao abrigo do n "1 do artigo 1 ". http://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:31995L0046&from=PT

14

cedente, com quem terá responsabilidade solidária pelos danoseventualmente causados.Parágrafo único. A responsabilidade solidária não se aplica aos casos decomunicação ou interconexão realizadas no exercício dos deveres de quetrata a Lei no 12.527, de 18 de novembro de 2011, relativos à garantia doacesso a informações públicas.

Art. 23. A comunicação ou interconexão de dados pessoais entre pessoas dedireito privado dependerá de consentimento livre, expresso, específico einformado, ressalvadas as hipóteses de dispensa do consentimentoprevistas nesta Lei.

Art. 24. A comunicação ou interconexão de dados pessoais entre pessoajurídica de direito público e pessoa de direito privado dependerá deconsentimento livre, expresso, específico e informado do titular, salvo:I – nas hipóteses de dispensa do consentimento previstas nesta Lei;II – nos casos de uso compartilhado de dados previsto no inciso XVII do art.5º, em que será dada publicidade nos termos do §1º do art. 6º; ouIII – quando houver prévia autorização de órgão competente, que avaliará oatendimento ao interesse público, a adequação e a necessidade da dispensado consentimento.Parágrafo único. A autorização prevista no inciso III do caput poderá sercondicionada:I – à comunicação da interconexão aos titulares, nos termos do §1º do art.6º;II – ao oferecimento aos titulares de opção de cancelamento de seus dados;ouIII – ao cumprimento de obrigações complementares determinadas porórgão competente.

Art. 25. A comunicação ou interconexão entre órgãos e entidades de direitopúblico será objeto de publicidade, nos termos do §1º do art. 6º, eobedecerá às regras gerais deste Capítulo.

Art. 26. O órgão competente poderá solicitar, a qualquer momento, aosórgãos e entidades públicos que realizem interconexão de dados e o usocompartilhado de dados pessoais, informe específico sobre o âmbito,natureza dos dados e demais detalhes do tratamento realizado, podendoemitir recomendações complementares para garantir o cumprimento destaLei.

Art. 27. Órgão competente poderá estabelecer normas complementarespara as atividades de comunicação e interconexão de dados pessoais.

De acordo com os artigos propostos no anteprojeto de lei, os diversos agentesenvolvidos no tratamento de dados pessoais são solidariamente responsáveis e sujeitos àregulamentação brasileira de proteção de dados, no entanto a responsabilidade solidária entreo cedente e o cessionário de dados na forma proposta poderia levar a uma responsabilidadeindevida daqueles envolvidos na operação de tratamento de dados. Não é razoável, além de

15

impraticável trazer para toda a cadeia dos agentes econômicos a responsabilidade sobre otratamento de dados pessoais.

O Responsável é quem decide sobre a utilização de dados e faz sentido que, em últimaanálise, é sua a responsabilidade que é tratada pela lei. Um cessionário (ou Operador) podeajudar a pessoa responsável com certos aspectos do tratamento dos dados, mas isso difere deum tipo de tratamento para outro. Dessa forma, qualquer responsabilidade que recaia sobre oOperador será melhor arranjada através de contrato entre Responsável e Operador.

A responsabilização solidária cria incertezas quanto ao real responsável por eventuaisdanos ou irregularidades, e o operador poderá ser responsabilizado por perdas e danos quenão guardam relação com o tratamento que realiza. Além disso, o Responsável é a figura maisprovável pela interação com o titular, o que, portanto, tornaria mais complicado para ousuário quando fosse necessário ingressar com qualquer medida judicial para reparação danosou pleitear indenizações.

Transferência Internacional

Art. 28. A transferência internacional de dados pessoais somente épermitida para países que proporcionem nível de proteção de dadospessoais equiparável ao desta Lei, ressalvadas as seguintes exceções:I – quando a transferência for necessária para a cooperação judicialinternacional entre órgãos públicos de inteligência e de investigação, deacordo com os instrumentos de direito internacional;II – quando a transferência for necessária para a proteção da vida ou daincolumidade física do titular ou de terceiro;III – quando órgão competente autorizar a transferência, nos termos deregulamento;IV – quando a transferência resultar em compromisso assumido em acordode cooperação internacional;V – quando a transferência for necessária para execução de política públicaou atribuição legal do serviço público, sendo dada publicidade nos termosdo §1º do art. 6º.Parágrafo único. O nível de proteção de dados do país será avaliado porórgão competente, que levará em conta:I – normas gerais e setoriais da legislação em vigor no país de destino;II – natureza dos dados;III – observância dos princípios gerais de proteção de dados pessoaisprevistos nesta Lei;IV – adoção de medidas de segurança previstas em regulamento; eV – outras circunstâncias específicas relativas à transferência.Art. 29. Nos casos de países que não proporcionem nível de proteçãoequiparável ao desta Lei, o consentimento de que trata o art. 7º seráespecial, fornecido:I – mediante manifestação própria, distinta da manifestação deconsentimento relativa a outras operações de tratamento; e

16

II – com informação prévia e específica sobre o caráter internacional daoperação, com alerta quanto aos riscos envolvidos, de acordo com ascircunstâncias de vulnerabilidade do país de destino.

Art. 30. A autorização referida no inciso III do caput do art. 28 seráconcedida quando o responsável pelo tratamento apresentar garantiassuficientes de observância dos princípios gerais de proteção e dos direitosdo titular, apresentadas em cláusulas contratuais aprovadas para umatransferência específica, em cláusulas contratuais-padrão ou em normascorporativas globais, nos termos do regulamento.§ 1º Órgão competente poderá elaborar cláusulas contratuais-padrão, quedeverão observar os princípios gerais de proteção de dados e os direitos dotitular, garantida a responsabilidade solidária, independente de culpa, decedente e cessionário.§ 2º Os responsáveis pelo tratamento que fizerem parte de um mesmogrupo econômico ou conglomerado multinacional poderão submeternormas corporativas globais à aprovação de órgão competente, obrigatóriaspara todas as empresas integrantes do grupo ou conglomerado, a fim deobter permissão para transferências internacionais de dados dentro dogrupo ou conglomerado sem necessidade de autorizações específicas,observados os princípios gerais de proteção e os direitos do titular.§ 3º Na análise de cláusulas contratuais ou de normas corporativas globaissubmetidas à aprovação de órgão competente, poderão ser requeridasinformações suplementares ou realizadas diligências de verificação quantoàs operações de tratamento.

Art. 31. O cedente e o cessionário têm responsabilidade solidária pelotratamento de dados realizado no exterior ou no território nacional, emqualquer hipótese, independente de culpa.

Art. 32. No caso de transferência internacional de dados de país estrangeiropara o Brasil, somente é permitido o seu tratamento no território nacionalquando nas operações realizadas naquele país tiverem sido observadas suasnormas relativas à obtenção de consentimento.

Art. 33. Órgão competente poderá estabelecer normas complementaresque permitam identificar uma operação de tratamento como transferênciainternacional de dados pessoais.

A economia globalmente interdependente de hoje depende de fluxos internacionaisde informação, que são uma importante fonte de valor econômico e social. É umapreocupação válida de que tais transferências podem resultar em proteções mais fracas, setratadas de forma diferente em um país estrangeiro com um enquadramento jurídicodiferente, ou inexistente.

Existem diferentes abordagens para a proteção dos dados pessoais transferidos para oexterior. Na UE, a lei proíbe a transferência de informações pessoais para outra jurisdição, amenos que a Comissão Europeia determina que a proteção conferida pelas leis nesse país

17

terceiro é "adequada", ou mecanismos específicos, tais como regras corporativas ou cláusulascontratuais- sejam usadas, semelhante a atual proposta no Brasil.

No Canadá, por outro lado, tem se evitado a abordagem de país para país em favor defazer as organizações que manuseiam os dados responsáveis por assegurar que os dados serãoprotegidos. A Lei de Proteção de Informações Pessoais e Documentos Eletrônicos (PIPEDA)estabelece que as organizações serão responsáveis pela proteção de transferências de dadospessoais no âmbito de cada arranjo individual de internacionalização. A vantagem dessaabordagem é de que os obstáculos administrativos e excessivos são evitados ao mesmo tempoem que a responsabilidade recairá sobre os devidos agentes. Mantendo a empresaresponsável pela segurança e cumprimento das normas durante a transferência de dadosgarante que a organização envidará os devidos esforços para se certificar de que os dados nãosejam transferidos para empresas que não cumprem normas de proteção adequadas.

Esse mecanismo permite que, ainda que o outro País mantenha regras de proteção dedados, seja possível a certificação de que o destinatário dos dados de fato cumpre com essasnormas, evitando-se assim um excesso de procedimentos administrativos. Portanto, nossarecomendação é de que o Brasil possa seguir o modelo canadense, garantindo maiorefetividade na proteção de dados pessoais.

Responsabilidade dos Agentes – Responsável e Operador

Art. 39. O operador deverá realizar o tratamento segundo as instruçõesfornecidas pelo responsável, que verificará a observância das própriasinstruções e das normas sobre a matéria.

§ 1º O responsável tem responsabilidade solidária quanto a todas asoperações de tratamento realizadas pelo operador.§ 2º Órgão competente poderá determinar ao responsável que elaborerelatório de impacto à privacidade referente às suas operações detratamento de dados, nos termos do regulamento.

Art. 40. O responsável ou o operador devem manter registro das operaçõesde tratamento de dados pessoais que realizarem, observado o disposto noart. 15.Parágrafo único. Órgão competente poderá dispor sobre formato, estruturae tempo de guarda do registro.

As responsabilidades aqui propostas podem conduzir à responsabilidade indevida dosagentes envolvidos no tratamento de dados, considerando a responsabilidade solidáriaprevista para o cessionário. Como mencionado anteriormente, é importante que se faça umadistinção clara entre as atividades envolvidas no tratamento de dados pessoais restringindo aresponsabilidade de cada agente econômico de acordo com a atividade efetivamenterealizada.

18

Segurança e Sigilo de Dados Pessoais

Art. 42. O operador deve adotar medidas de segurança técnicas eadministrativas constantemente atualizadas, proporcionais à natureza dasinformações tratadas e aptas a proteger os dados pessoais de acessos nãoautorizados e de situações acidentais ou ilícitas de destruição, perda,alteração, comunicação, difusão, ou qualquer forma de tratamentoinadequado ou ilícito.Parágrafo único. As medidas de segurança devem ser compatíveis com oatual estado da tecnologia, com a natureza dos dados e com ascaracterísticas específicas do tratamento, em particular no caso de dadossensíveis.

Art. 43. Os agentes de tratamento ou qualquer outra pessoa que intervenhaem uma das fases do tratamento obriga-se ao dever de sigilo em relação aosdados pessoais, mesmo após o seu término.

Art. 44. O responsável deverá comunicar imediatamente ao órgãocompetente a ocorrência de qualquer incidente de segurança que possaacarretar prejuízo aos titulares.Parágrafo único. A comunicação deverá mencionar, no mínimo:I – descrição da natureza dos dados pessoais afetados;II – informações sobre os titulares envolvidos;III – indicação das medidas de segurança utilizadas para a proteção dosdados, inclusive procedimentos de encriptação;IV – riscos relacionados ao incidente; eV – medidas que foram ou que serão adotadas para reverter ou mitigar osefeitos de prejuízo.Art. 45. Órgão competente poderá determinar a adoção de providênciasquanto a incidentes de segurança relacionados a dados pessoais, conformesua gravidade, tais como:I – pronta comunicação aos titulares;II – ampla divulgação do fato em meios de comunicação; ouIII – medidas para reverter ou mitigar os efeitos de prejuízo.§ 1º No juízo de gravidade do incidente, será avaliada eventualcomprovação de que foram adotadas medidas técnicas adequadas quetornem os dados pessoais afetados ininteligíveis para terceiros nãoautorizados a acessá-los.§ 2º A pronta comunicação aos titulares afetados pelo incidente desegurança será obrigatória, independente de determinação do órgãocompetente, nos casos em que for possível identificar que o incidentecoloque em risco a segurança pessoal dos titulares ou lhes possa causardanos.

Art. 46. Os sistemas utilizados para o tratamento de dados pessoais devemser estruturados de forma a atender aos requisitos de segurança, aosprincípios gerais previstos nesta Lei e às demais normas regulamentares.

19

Art. 47. Órgão competente poderá estabelecer normas complementaresacerca de critérios e padrões mínimos de segurança, inclusive com base naevolução da tecnologia.

Embora a adoção de medidas de segurança para a proteção dos dados pessoais seja deextrema importância, acreditamos que essas medidas devam ser adotadas de acordo com aescolha feita por cada agente econômico, à partir de critérios técnicos e individuas, nãodevendo sofrer a interferência do órgão regulador quanto à forma de melhor garantir aproteção de dados pessoais.

Além disso, acreditamos que as notificações a respeito de eventos relacionados àsegurança de dados devam ser obrigatórias apenas em casos de falhas que resultem em danossignificativos aos indivíduos e, nestes casos, a legislação deve proporcionar uma maiororientação para o que deve ser obrigatoriamente apresentado ao usuário.

É importante ressaltar que o prazo para envio das notificações deve variar de acordocom a proporção do incidente; com base em experiências anteriores em outros países, asnotificações imediatas podem enfrentar algumas dificuldades, é necessário respeitar o tempopara que sejam tomadas as medidas necessárias para estabelecer a matriz das falhas e corrigi-las corretamente. O envio da notificação imediata e sem os devidos critérios resultará emindivíduos incapazes de distinguir entre as notificações que são de natureza grave e os que nãocriam um risco de dano significativo.

Por fim, notamos que nos termos do anteprojeto proposto, a análise a ser realizadapelo órgão competente devem considerar as medidas técnicas de proteção adotadas paratornar o indecifrável. Entendemos ainda que tal consideração deve se aplicar a todos os casosem que um dado tenha se tornado indecifrável ou inutilizável e em que tais medidas técnicasde proteção tenham sido adotados, de modo que nesses casos o responsável não sejaobrigado a enviar qualquer tipo de notificação ao órgão competente.

Sanções Administrativas

Art. 50. As infrações realizadas por pessoas jurídicas de direito privado àsnormas previstas nesta Lei ficam sujeitas às seguintes sançõesadministrativas aplicáveis por órgão competente:I – multa simples ou diária;II – publicização da infração;III – dissociação dos dados pessoais;IV – bloqueio dos dados pessoais;V – suspensão de operação de tratamento de dados pessoais, por prazo nãosuperior a dois anos;VI – cancelamento dos dados pessoais;VII – proibição do tratamento de dados sensíveis, por prazo não superior adez anos; e

20

VIII – proibição de funcionamento de banco de dados, por prazo nãosuperior a dez anos.§ 1º As sanções poderão ser aplicadas cumulativamente.§ 2º Os procedimentos e critérios para a aplicação das sanções serãoadequados em relação à gravidade e à extensão da infração, à natureza dosdireitos pessoais afetados, à existência de reincidência, à situaçãoeconômica do infrator e aos prejuízos causados, nos termos doregulamento.§ 3º Os prazos de proibição previstos nos incisos VII e VIII do caput poderãoser prorrogados pelo órgão competente, desde que verificada a omissão nocumprimento de suas determinações, a reincidência no cometimento deinfrações ou a ausência de reparação integral de danos causados pelainfração.§ 4º O disposto neste artigo não prejudica a aplicação de sançõesadministrativas, civis ou penais definidas em legislação específica.§ 5º O disposto nos incisos III a VII poderá ser aplicado às entidades e aosórgãos públicos, sem prejuízo do disposto na Lei no 8.112, de 11 dedezembro de 1990 e na Lei no 8.429, de 2 de junho de 1992

Embora entendamos que a função das sanções como um importante incentivo para ocumprimento integral da legislação de proteção de dados pessoais, também acreditamos,fortemente, que essas sanções devem possuir critérios de razoabilidade de proporcionalidadecom relação ao dano ou violações ocorridas.

Algumas das penalidades previstas na proposta de lei têm o efeito indesejado deefetivamente encerrar negócios e não acreditamos que seja esta a intenção do legislador. Oobjetivo deve ser o de coagir para garantir a conformidade com o dispositivo legal e nãoapenas para levar à cessação das atividades de negócio.

Portanto, nós recomendamos fortemente que o artigo 50, incisos V, VI, VII e VIII sejamexcluídos do projeto de lei, como uma forma de implementar um sistema mais eficaz deproteção de dados, garantindo segurança jurídica para os processadores de dados de um lado,e assegurar a proteção aos direitos fundamentais dos usuários, de outro.

Autoridade Competente

O projeto de lei prevê que um "órgão competente" terá o dever de interpretar,acompanhar e fazer cumprir a lei. Melhores práticas nos regimes de proteção de dadospessoais indicam que uma autoridade de proteção de dados independente é a pedra angularem um quadro viável proteção de dados.

Nesse sentido, quase todos os países que promulgaram leis de proteção de dadospessoais também criaram um organismo nacional específico, independente e exclusivo, com opoder de interpretar, monitorar e fazer cumprir a lei, geralmente chamado de "autoridade deproteção de dados", ou DPA. Entre as principais vantagens de um modelo de autoridade

21

federal independente para a proteção de dados pessoais é a consistência nas interpretações, aaplicação de conhecimentos técnicos e jurídicos sobre o tema, a segurança regulamentar e aindependência necessária para agir de forma eficaz e pesar todos os direitos e interesses emdiscussão.

Portanto, gostaríamos de sugerir que - tendo em vista referência internacional - oprojeto de lei proponha a criação de tal agência, de nível federal, como um órgão técnico eindependente, com o intuito de supervisionar a implementação e aplicação de um regramentotão importante para o estabelecimento dos direitos dos cidadãos brasileiros na era digital.

Atenciosamente,

Giuseppe Sidrim Marrara

Diretor de Relações GovernamentaisCisco Brasil

*****

22